No. | Question | Marks | ||
你会获得一个包含Hugo电脑硬盘的镜像文件,其文件名为“Competition_HD1.E01",该文件是由AccessData FTK Imager采集而来的。根据Hugo电脑硬盘的内容,请回答以下问题: | ||||
1. | 请写下Hugo电脑硬盘的MD5哈希值。 F895FD18E47A5371AEC6DB72D0AEDCA7 | |||
2. | 你能找到多少个硬盘分区?
| |||
3. | 根据主引導記錄(MBR),以下哪組偏移显示了包含操作系统分区的总扇区数?https://blog.csdn.net/u010783226/article/details/106069699 A) 偏移 446-449 B) 偏移 458-461 C) 偏移 474-477 D) 偏移 490-493 E) 偏移 506-509
| 1 | ||
4. | 根据主引導記錄(MBR),包含操作系统的分区的总扇区数是多少? (答案格式:5246852048 sectors)102,195,200sectors
| 1 | ||
5. | 请找出系统文件“SOFTWARE",请问操作系统的安装日期是? (答案格式 -“世界协调时间":YYYY-MM-DD HH:MM UTC) A) 1996-01-04 02:56 UTC B) 2009-06-10 21:10 UTC C) 2015-04-14 07:12 UTC D) 2016-09-09 05:26 UTC E) 2016-09-13 02:28 UTC | 1 | ||
6. | 用户“Hugo"的唯一标识符(SID)是什么?(答案格式:RID)
| 1 | ||
7. | 于包含操作系统的分区內,$Bitmap的物理起始偏移位置是什么? (答案格式:256363) 35,987,456
| 1 | ||
8. | 硬盘的操作系统是什么?
| 1 | ||
9. | 操作系统的最新服务包(Service Pack)版本号是什么? A) Service pack 1 B) Service pack 2 C) Service pack 3 D) Service pack 4 E) Service pack 5 | 1 | ||
10. | 其中一个分布式拒绝服务/拒绝服务工具的readme文件中声明“SECURITY TESTING PURPOSES ONLY!"请找出该readme文件,并列出文件中的前十二字符?GoldenEye = 通过搜索readme进行搜索发现快捷方式和系统日志里都有过启动这个文件,通过火眼导出发现是快捷方式我没注意后来通过取证大师找到目标路径找到确认目标,注意因该使用取证大师的进制模式预览查看12进制发现空格也算字符,我这种导出来查看也是错误的的
| 1 | ||
11. | 哪一个用户拥有分布式拒绝服务/拒绝服务(DDOS/DOS)工具? A) Home B) Hugo C) Administrator D) Mike E) Public | 1 | ||
12. | 用户 “Hugo"的收藏夹中是否含有任何与“黑客"相关的链接?若有,请列举出相关链接。 (答案格式:http://123.com/abc.htm) URL=http://5566.net/hack-.htm | 1 | ||
13. | Hugo有时会自己编写程序代码。请问Hugo用什么语言编写程序? (答案格式:ProgramLangDddduageName) python查看他的桌面的快捷方式看见的(我这种说辞错误的不是桌面的快捷方式而是分析看出来桌面快捷方式因该在文件夹内看)编程软件在搜素框内搜索.py查找到了python文件确定
| 1 | ||
14. | 请检查Hugo在桌面上的快捷方式文件,其中有一个快捷方式文件的创建日期是“2016-09-14"(世界协调时间/UTC),请问该文件的目标位置是什么? (答案格式:D:\folder\123.abc)本地磁盘[D]:\Users\Hugo\Desktop\python - 快捷方式.lnk | 1 | ||
15. | 请找一个“shellcode"的文件夹,该文件夹中含有一个用于连接HTC Touch2设备的程序。请列举出其中任何的电子邮件地址。 (答案格式:abcd@email.com)celilunuver[n*spam]gmail.com直接搜索shellcode的文件夹慢慢找到的 | 2 | ||
16. | Hugo承认曾经进行网络攻击诈骗,并且把诈骗金额记录在电脑中。请问,保存有诈骗金额记录的文件名是什么? (答案格式:123.abc) Important.xlsx | 2 | ||
17. | 在所有用户中,用于电子邮件发送/接收的程序名称是什么? A) Gmail B) Foxmail C) 新浪邮箱 D) 网易163 E) 阿里邮箱 | 1 | ||
18. | 根据上述问题,请于注册表(registry) 找出该电子邮件发送/接收程序的版本号。 (答案格式:1.3.4.5) 7.2 看复盘是7.2.7.174但通过火眼的跳转没看出来通过仿真查看注册表或者取证大师内文件查看都有线索
| 1 | ||
19. | Hugo的主要电子邮件地址是什么? (答案格式:abc@mail.com) hackerthehugo@qq.com | 2 | ||
20. | 加分题︰Hugo有任何其他属于Google的电子邮件地址吗? (答案格式:abcd@gmail.com) hugo82618@gmail.com直接搜索@gmail.com谷歌邮箱后缀没变
| 2 | ||
21. | Hugo编写了一个获取击键信息(k)的程序。请问,该程序的文件名是什么? (答案格式:123.abc) malware.py 嫌疑人习惯把文件放到自己目录,这题花了很长时间在他文档里慢慢找 | 2 | ||
22. | 根据上述问题,程序中攻击者的IP地址是什么? (答案格式:123.123.123.123) 192.168.4.78上一题长时间
| 2 | ||
23. | Hugo也编写了另一个程序,并存储在同一个文件夹中,该程序开启一个用于建立连接的端口。请问,该端口号是多少? (答案格式:8080) 443上一条长时间
| 2 | ||
24. | Hugo有时会注入恶意脚本到已经被攻击的网站中盗取PayPal的用户帐户和密码。请找到该脚本。请问,用于存储盗窃信息的文件名称是什么? (答案格式:123.abc) passwd.txt
| 2 | ||
25. | Hugo用于PayPal的网络钓鱼电子邮件,请问,该PayPal帐户号码是什么? (答案格式:98-765-4321)12-976-9860 | 2 | ||
26. | 根据上述问题,网络钓鱼电子邮件将链接到一个URL查看交易的细节。请问,该链接的URL是什么? (答案格式:http://abc.com/abc.htm) http://158.69.201.134/login.html
| 2 | ||
27. | 请问哪一个文件中保存了微软互联网浏览器的历史浏览记录? (答案格式:123.abc) Index.bat
| 1 | ||
28. | 根据上述问题,那个档案储存了Hugo的微软互联网浏览器的缓存记录(cache history)?(答案格式:C:\folder\subfolder\123.abc)D:\Users\Hugo\AppData\LocalLow\Microsoft\Internet Explorer\DOMStore\ C:\Users\Hugo\AppData\Local\Microsoft\Feeds Cache\index.dat在取证大师预览没注意存的位置存的东西应该都是加密的,历史记录都是存一个文件了而且给的格式也说明是一个文件,经过复盘·后察觉到错误。
| 1 | ||
29. | 根据微软互联网浏览器的历史浏览记录,Hugo在2016-09-13,02:32:34(世界协调时间/UTC),曾访问域/主机的名称/地址是什么?http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html (答案格式:http://www.abc.com.cn) | 1 | ||
30. | 请找出Mozilla Firefox的互联网历史文本,上述文本的名称是什么? (答案格式:123.abc) places.sqlite
| 1 | ||
31. | 请检查视窗用户Hugo中的Mozilla Firefox互联网历史文本,他是在那一天(世界协调时间/UTC),访问网页www.xshellz.com? (答案格式:YYYY-MM-DD)2016-09-13 | 1 | ||
32. | 请问哪一个文件中保存了Google Chrome浏览器的历史浏览记录? History | 1 | ||
33. | 该电脑中可能含有Jason的相关信息,例如电子邮件地址。请问,Jason的电子邮件地址是什么? (提示:21个字符) jasonforensics@qq.com 通过邮件邮件名字直接叫Jason | 1 | ||
34. | 有没有发现其他可以与手机通讯的聊天程式? (答案格式:ProgramName)
| 1 | ||
35. | 有没有发现任何包括安全文件传输功能的传输工具? (答案格式:123.abc)WinSCPWinSCP 是一个 Windows 环境下使用的 SSH 的开源图形化 SFTP 客户端,同时支持 SCP 协议。它的主要功能是在本地与远程计算机间安全地复制文件,并且可以直接编辑文件。WinSCP 既可以管理远程 VPS 主机,也可以管理路由器,网络机顶盒等,只要远程设备能ssh连接即可。
| 1 | ||
36. | 根据上述问题,该文件传输工具是从哪里下载的? (答案格式:https://domain.abc)https://winscp.net | 1 | ||
37. | 根据上述问题,请问用户使用哪一个浏览器下载该文件传输工具?
| 1 | ||
38. | 有没有发现任何已下载的远程访问工具?若有,请列举。 (答案格式:123.abc) putty.exe | 1 | ||
39. | 加分题︰根据远程访问工具,请问用户曾连接到哪一个主机名? | 仿真通过winscp的历史纪录看也可以 | 2 |